Bruce Schneier: Überlasst die Security den Profis!

Bruce Schneier, Kathrin Schmitt,

Security-Guru Bruce Schneier ist bekannt für provokante Thesen, die unser Sicherheitsbild ins Wanken bringen – etwa, dass Data Mining im Kampf gegen Terrorismus nichts als nutzloser Schnickschnack ist. Doch heute hat er ein anderes Thema. “The closest the Security Industry has to a Rock Star” plädiert für Security Outsourcing.

Mehr und mehr Unternehmen lagern ihre Netzwerksicherheit aus. Dieser Trend wird getrieben von einer einzigen Binsenweisheit: Es gibt einfach keinen anderen Weg, dem Fachkräftemangel an Security-Experten zu begegnen. Oder den wachsenden Bedürfnissen der Firmen, ihre Netzwerke zu öffnen. Oder auch den immer größeren Gefahren, die in der Netz-Umgebung von Firmen lauern.

Die Entscheidung, die Netzwerksicherheit auszulagern, ist eine schwierige. Die Entscheidung, was genau ausgelagert werden soll, ist aber eine beinahe unmögliche. Dabei ist das Angebot nicht klein: Managed Security Providers können vieles offerieren. Andere Firmen bieten ähnliche Dienste an und koppeln sie mit diversen Produkten oder Produktsuiten. Und manchmal kommt Outsourced Network Security im Paket mit anderen auslagerungsfähigen Netzwerkdiensten daher.

Auf der einen Seite sind die Versprechungen der ausgelagerten Sicherheit sehr attraktiv: Das Potential, die eigene Netzwerksicherheit entscheidend zu erhöhen, ohne ein halbes Dutzend Leute dafür einzustellen oder anderweitig ein Vermögen auszugeben – das ist schwer zu ignorieren. Auf der anderen Seite fühlt sich der Vorgang, die eigene Netzwerksicherheit an eine andere Firma abzugeben, zutiefst riskant an. In Wirklichkeit gibt es hier aber gar keine Dichotomie. Ein Team von Spezialisten anzuheuern um Netzwerksicherheit zu gewährleisten kann weit weniger riskant sein, als diese Expertise im eigenen Unternehmen aufzubauen. Und das kann auf jeden Fall billiger und auch effektiver sein – und Sie wissen auch schon warum. Sie haben vielleicht nur noch nicht unter den Vorzeichen von Netzwerksicherheit darüber nachgedacht.

Das primäre Argument für Outsourcing ist jedoch seine finanzielle Seite. Sich 24 Stunden am Tag und 365 Tage im Jahr rund um die Uhr abzusichern, erfordert fünf Vollzeitkräfte. Und noch mehr, wenn man Supervisoren und ein speziell ausgebildetes Eskalations-Team mit einberechnet. Selbst wenn eine Firma das Budget für diese Mitarbeiter freigegeben bekommt, wäre es auf dem heutigen Arbeitsmarkt sehr schwer, sie zu finden. Aber wer glaubt, die Einstellung sei das Problem, der hat noch nicht überlegt, wie er sie halten kann. Das ist die noch größere Herausforderung.

Sicherheitsmonitoring ist zutiefst unberechenbar: Sechs Wochen Langeweile werden gefolgt von acht Stunden Panik, dann werden sieben Wochen Langeweile gefolgt von sechs Stunden Panik. Angriffe gegen eine Organisation passieren einfach nicht häufig genug, um ein Team des erforderlichen Kalibers beschäftigt und interessiert zu erhalten. Das ist es, warum Outsourcing der einzig kosteneffektive Weg ist, die Bedingungen zu erfüllen.